红帽全球峰会You are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
6.3. 生成网络策略
Kubernetes 网络策略控制哪些 pod 接收传入的网络流量,哪些 pod 可以发送传出流量。通过使用网络策略来启用和禁用 pod 的流量,您可以限制网络攻击面。
这些网络策略是 YAML 配置文件。通常很难深入了解网络流,并手动创建这些文件。Red Hat Advanced Cluster Security for Kubernetes 允许您根据环境中实际观察到的网络通信流自动生成这些网络策略。
您可以从网络图形视图生成网络策略。
生成的策略适用于网络图形中显示的部署,并允许在所选时间观察到的所有网络流量。
流程
- 在 RHACS 门户,从左侧导航菜单中选择 Network Graph。
- 如果还没有选择正确的,则从顶栏的菜单中选择集群名称。
- 选择一个或多个命名空间。
- 如果您只想为一些部署生成策略,请使用 Add 一个或多个部署过滤器 字段来添加要过滤部署的条件。如果没有添加过滤器,Red Hat Advanced Cluster Security for Kubernetes 会为集群中的所有部署生成策略。
- 从顶栏的菜单中选择一个适当的时间。如果选择的时间过短,它会留下定期或不经常的网络通信。
- 选择 Network Policy Simulator。
- 在打开的面板中,如果您不需要在 Red Hat Advanced Cluster Security for Kubernetes 生成的策略中有范围的 端口和协议,请选择 Exclude 端口和协议。
- 选择" 生成"并模拟网络策略。生成的网络策略配置 YAML 在同一面板中打开,网络图则显示策略的影响。
6.3.1. 保存生成的策略
您可以从 Red Hat Advanced Cluster Security for Kubernetes 下载并保存生成的网络策略。使用此选项将策略提交到类似于 Git 的版本控制系统。
流程
- 选择 Network Policy Simulator 面板上的 Download YAML 图标。
